Accountability in AVG: toestemming

Weet je het nog? Aan onderstaande verplichtingen dien jij als kantoor te voldoen volgens het accountability vereiste. Daaronder vallen de punten:

• het bijhouden van een register van verwerkingsactiviteiten;
• het uitvoeren van een data protection impact assessment (DPIA);
• het bijhouden van een register van datalekken die zijn opgetreden;
• het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt;
• wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een FG aan te stellen.

Accountability: toestemming

In deze blog schrijf ik over de vierde in de rij, namelijk toestemming. Toestemming is een van de zes grondslagen waarop een organisatie gegevensverwerking kan baseren. De GDPR (in het Nederlands Algemene verordening persoonsgegevens, AVG) kent dezelfde zes grondslagen voor het verwerken van persoonsgegevens als de huidige privacy wet:

• Toestemming van de betrokken persoon.
• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
• De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Onder de GDPR worden aanvullende eisen gesteld met betrekking tot toestemming. Daarom is het verstandig om toestemming als laatste optie pas te benutten. Probeer je gegevensverwerking op een andere grondslag te baseren. Waarom? Toestemming brengt onder de GDPR namelijk extra lasten met zich mee.

Waar moet toestemming aan voldoen?

Onder de GDPR is toestemming een fragiel concept. Toestemming kan namelijk op elk moment door de betrokkene worden ingetrokken. Dan blijf jij achter zonder grondslag voor de verwerking en moet de verwerking dus gestaakt worden. Daarnaast kan de geldigheid van toestemming makkelijk ter discussie gesteld worden, door zowel de betrokkene als de Autoriteit Persoonsgegevens.

Toestemming brengt ook administratieve lasten met zich mee. Je moet als bedrijf kunnen bewijzen dat je toestemming hebt verkregen. Het is dus niet handig om te vertrouwen op mondelinge uitspraken, want die kun je meestal niet bewijzen. Daarnaast moeten er maatregelen zijn geïmplementeerd om ervoor te zorgen dat de toestemming weer ingetrokken kan worden. Denk hierbij aan een opt-out in een nieuwsbrief.

Toestemming moet geïnformeerd, ondubbelzinnig, specifiek en vrijwillig gegeven zijn. Met andere woorden. Je moet de betrokken goed informeren waar hij of zij toestemming voor geeft. Met ‘ondubbelzinnig’ en ‘specifiek’ wordt bedoeld, dat het voor de betrokkene helder moet zijn voor welk doel hij of zij precies toestemming geeft. Bijvoorbeeld omdat jij jouw klant in de toekomst via een nieuwsbrief op de hoogte wilt stellen van een klantevent dat jij organiseert.

Indien je als organisatie bij de verwerking meerdere doeleinden hebt, dien je de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Bijvoorbeeld toestemming om een uitnodiging voor een klantevent per post te versturen en apart toestemming om dit via een nieuwsbrief te doen. Het doel mag niet gaandeweg veranderen.

Bij welke gegevensverwerking vraag je toestemming?

Veelal kun je de gegevensverwerkingen met je klanten baseren op grondslag twee: noodzakelijk voor de uitvoering van een overeenkomst. Je hebt namelijk een contract met je klant. Maar het kan zijn, dat je informatie wilt sturen naar de klant die meer in de marketingsfeer ligt. Dit is in de meeste gevallen te baseren op grondslag zes van het rijtje, gerechtvaardigd belang van het bedrijf. Echter, ga je verder dan dat direct marketing met specifieke aanbiedingen en/of data-analyse, dan kan het zijn dat je toch toestemming nodig hebt. Er is dan geen andere grondslag om die verwerking op te baseren.

Voorbeeld van geldige toestemming

• Actief een boxje aanvinken.
• Formulier invullen.
• Mondeling toestemming geven die te bewijzen is, door de toestemming schriftelijke vast te leggen en te laten ondertekenen.

Voorbeelden van ongeldige toestemming

• Vooraf aangevinkte boxjes.
• Doorgaand gebruik
  Voorbeeld: In de huidige overeenkomst met je klant heb je misschien vastgelegd dat je de klant via e-mail of nieuwsbrief informeert over updates in software die jullie in de samenwerking gebruiken. Dit valt per 28 mei onder ‘ongeldige toestemming’. Je klant moet expliciet toestemming geven om deze informatie per e-mail of nieuwsbrief te ontvangen.
• Inactiviteit aan de kant van de betrokkene
  Voorbeeld: Een impliciet onderdeel van de algemene voorwaarden is dat persoon akkoord gaat met krijgen van bepaalde info of mee te doen met bepaalde onderzoeken.

Wat moet ik doen?

Het is belangrijk om te bekijken of je gegevensverwerkingen kunt baseren op een andere grondslag dan toestemming. Dat verdient de voorkeur. Moet je toch toestemming als grondslag gebruiken? Zorg dan dat deze voldoen aan de GDPR-vereisten. Onderstaand een lijstje met stappen om na te lopen.

• Beoordeel of je gegevensverwerking doet op basis van toestemming.
• Beoordeel of de toestemming op een GDPR-compliant manier is verkregen.
• Zorg ervoor dat toestemming op de geldige manier verkregen wordt.
• Zorg ervoor dat er een mogelijkheid is om toestemming in te trekken.
• Zorg ervoor dat dit alles gedocumenteerd wordt in het register van verwerkingsactiviteiten.

Nathanja de Kruijff is compliance & privacy manager bij Wolters Kluwer Tax & Accounting Europe.